Наиболее распространенные нарушения в области защиты персональных данных

При проведении мероприятий по контролю и надзору за деятельностью операторов обрабатывающих персональные данные выявляются следующие нарушение:

операторы ПД осуществляют обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных;
Статья 22. Уведомление об обработке персональных данных

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных;

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

При подаче уведомления об обработке персональных данных оператор предоставляет неполные сведения;
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

Оператор не информирует об изменении сведений указанных в уведомлении об обработке персональных данных;
7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.

Не представление информации в течении 7 рабочих дней по запросу Роскомнадзора.
Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

Обработка персональных данных осуществляется без предварительного согласия субъекта персональных данных;
Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

Законом напрямую установлено 7 случаев, когда обработка персональных данных возможно только при наличии письменного согласия:
- включение персональных данных в общедоступные источники (в том числе справочники, адресные книги),
- в случае недееспособности субъекта д.б. письменное согласие законного представителя,
- в случае смерти субъекта д.б. письменное согласие наследников, если согласие не было дано субъектом при жизни,
- на обработку специальных категорий персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья и интимной жизни),
- на обработку биометрических ПД,
- если решения, порождающие юридические последствия в отношении субъекта персональных данных принимается исключительно на автоматизированной обработке,
- при передаче персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов ПД.

Письменное согласие должно включать в себя следующую информация:
- ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, кем и когда выдан документ,
- наименование и адрес оператора, получающего согласие,
- цель обработки персональных данных,
- перечень ПД, на обработку которых дается согласие,
- перечень действий с ПД, на совершение которых дается согласие и общее описание способов обработки,
- срок согласия и порядок его отзыва,
- собственноручная подпись субъекта ПД.

По достижению цели обработки персональных данных эти персональные данные не уничтожаются;
Статья 5. Принципы обработки персональных данных
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

При получении персональных данных не от субъекта персональных данных (данные о супругах, родителях, родственниках) оператор до начала обработки ПДн не предоставляет субъекту персональных данных (супругам, родителям, родственникам) необходимую информацию данные оператора ПДн, цель обработки, предполагаемые пользователи ПДн;

Статья 18. Обязанности оператора при сборе персональных данных

3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

установленные настоящим Федеральным законом права субъекта персональных данных.

Оператор не предоставляет субъекту персональных данных, по его запросу информацию о наличии его персональных данных;

Статья 14. Право субъекта персональных данных
на доступ к своим персональным данным
1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3. Доступ к своим персональным данным предоставляется субъекту персональных данных при обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

В типовых формах документов, в которых предполагается или допускается включение в них персональных данных, не содержатся сведения предусмотренные п. 7 постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». (источник получения ПДн, сроки обработки, перечень действий с ПДн, поле в котором ставится отметка о согласии на обработку ПДн.)
Постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

П. 7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

Персональные данные сотрудников проверенных организаций передавались третьему лицу без согласия работников и без заключения соответствующего договора, предусматривающего обязанность по обеспечению конфиденциальности и безопасности персональных данных при их обработке;
Статья 7. Конфиденциальность персональных данных

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обеспечение конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.

Не приняты необходимые организационные меры для защиты персональных данных от неправомерного или случайного доступа к ним.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры,

постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

П. 15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

П. 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

П. 13. Обработка ПД должна осуществляться таким образом, чтобы в отношении каждой категории ПД можно было определить места хранения ПД (материальных носителей) и установить перечень лиц, осуществляющих обработку ПД либо имеющих к ним доступ

П. 8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

Ст. 87 ТК. Порядок хранения и использования ПД работников устанавливается работодателем с соблюдением требований ТК и иных федеральных законов.
Работодателем должен быть издан локальный документ, устанавливающий порядок хранения и использования ПД работников.

П. 8 ст. 86 ТК. Работники и их представители д.б. ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки ПД работников, а также об их правах и обязанностях в этой области.

Ч. 2 ст. 14 152-ФЗ. Сведения о наличии ПД д.б. представлены субъекту ПД оператором в доступной форме, и не должны содержать ПД, относящиеся к другим ПД.

Читайте еще

Европол предупреждает об опасности использования общественного Wi-Fi	Россиян обяжут предоставлять паспортные данные для скачивания контента через торренты	Tripwire: 80% домашних маршрутизаторов беззащитны перед хакерами